Trigona, un ransomware activo desde 2022, sigue amenazando sistemas Linux con tácticas avanzadas de evasión y manipulación de archivos. Un análisis reciente revela cómo esta variante aprovecha herramientas como r2ai y técnicas anti-forenses para eludir defensas tradicionales.

Concepto visual de ransomware en Linux: fondo digital oscuro, logo de Linux encadenado y advertencia de cifrado
Trigona es una familia de ransomware que ha mostrado una notable capacidad de adaptación frente a los esfuerzos por frenarla desde su detección inicial en 2022. Pese a que algunos servidores de mando fueron inhabilitados en 2023, persisten variantes dirigidas a sistemas Linux, especialmente en entornos donde los controles sobre atributos de archivos no están adecuadamente reforzados.

El ataque de Trigona aprovecha técnicas como la descompilación y modificación de código utilizando r2ai, dificultando su detección por soluciones estándar. El malware actúa sobre plataformas Linux alterando permisos y atributos de archivos críticos mediante el comando ‘chattr‘, añadiendo o eliminando la inmutabilidad (flag ‘i’) para facilitar su cifrado posterior. Se identifican archivos como Filecoder y el hash SHA-256 c08a752138a6f0b332dfec981f20ec414ad367b7384389e0c59466b8e10655ec como IoCs relevantes.

Trigona puede cifrar archivos esenciales de Linux y alterar atributos del sistema para persistir y bloquear mecanismos de recuperación. El impacto abarca interrupción de servicios, pérdida de datos críticos y posibles demandas de rescate. La manipulación de flags y atributos complica la restauración y el análisis forense tras el incidente, aumentando el tiempo de recuperación y los costes para la organización.

Para mitigar el riesgo, se recomienda limitar el acceso a comandos como ‘chattr’, aplicar listas de control de acceso estrictas, realizar auditorías regulares de integridad y utilizar herramientas EDR habilitadas para Linux. Actualizar el sistema y los parches de seguridad, restringir la ejecución de scripts no autorizados y monitorizar cambios anómalos en archivos críticos forman parte de una defensa eficaz contra este tipo de amenazas.

Trigona demuestra que los atacantes perfeccionan sus métodos para sortear las barreras técnicas convencionales en Linux. Una monitorización proactiva, controles de permisos reforzados y procedimientos de emergencia bien definidos son la mejor defensa contra esta evolución del ransomware.

Más información